精通Splunk——機器數據處理與分析

Splunk 是機器數據的引擎，使用 Splunk 可收集、索引和利用所有應用程式、伺服器和設備生成的快速移動型計算機數據 。這項技術對於進行大數據分析、線上服務、教育、醫療以及通信有非常重要的作用。通過本書，讀者可以了解Splunk的發展歷程，及其如何與組織建設路線相融合。

目 錄

第1章 Splunk的套用 1

1.1 Splunk的定義 1

1.2 處理通用檔案 4

1.3 保密性與安全性 5

1.4 傳統套用案例 7

1.4.1 調查研究性搜尋 8

1.4.2 監測 10

1.4.3 操作領域的可視化 12

1.4.4 決策支持——實時分析 14

1.5 Splunk——創新套用 17

1.5.1 客戶關係管理 17

1.5.2 新興的技術 17

1.5.3 知識發現和數據分析 18

1.5.4 災難恢復 18

1.5.5 病毒防護 18

1.5.6 加強結構化數據 18

1.5.7 項目管理 19

1.5.8 防火牆應用程式 19

1.5.9 企業無線解決方案 19

1.5.10 Hadoop技術 19

1.5.11 媒體評估 20

1.5.12 社交媒體 20

1.5.13 移動設備管理 20

1.6 Splunk的實際套用 21

1.7 小結 21

第2章 高級搜尋 22

2.1 Splunk搜尋 22

2.1.1 搜尋儀錶板 22

2.1.2 新建搜尋儀錶板 23

2.1.3 Splunk搜尋機制 23

2.1.4 Splunk快速參考指南 24

2.1.5 請幫助我 24

2.1.6 基本最佳化 24

2.1.7 快速、詳細或智慧型搜尋模式 25

2.1.8 指令的分解 26

2.1.9 了解稀疏和密集搜尋之間的差別 26

2.1.10 搜尋運算符、指令格式和標籤 26

2.1.11 處理流程 27

2.1.12 布爾表達式 28

2.1.13 將我放在“引號”內，否則需要轉碼 29

2.1.14 在Splunk中添加標籤 30

2.1.15 事物型搜尋 32

2.2 知識管理 33

2.3 子級搜尋 35

2.3.1 子級搜尋的輸出設定 36

2.3.2 Search Job Inspector 37

2.4 使用參數進行搜尋 38

2.5 Splunk宏 39

2.5.1 創建自定義宏指令 40

2.5.2 使用宏 40

2.5.3 Splunk的限制條件 41

2.6 搜尋結果 42

2.6.1 Splunk基本搜尋案例 42

2.6.2 更多的格式選項 43

2.7 總結 43

第3章 掌握表格、圖表和欄位的使用方法 44

3.1 表格、圖表和欄位 44

3.1.1 匯總成表 45

3.1.2 以圖表的形式返回搜尋結果 50

3.2 Splunk目錄存放 56

3.2.1 使用timechart指令報表 57

3.2.2 timechart指令需要的參數 58

3.2.3 目錄存放時間範圍VS per_*函式 58

3.3 挖掘分析 59

3.3.1 挖掘分析選項 61

3.3.2 基本的分析功能 62

3.3.3 行分析 62

3.3.4 單元格分析 63

3.3.5 圖表分析 65

3.3.6 圖例 66

3.4 透視表 66

3.4.1 透視編輯器 68

3.4.2 使用透視元素 69

3.5 拆分 70

3.6 Column Values（列值） 71

3.7 數據透視表格式 71

3.8 一個簡單的例子 72

3.9 Sparklines（走勢圖） 74

3.10 總結 76

第4章 查詢（Lookup） 77

4.1 簡介 77

4.2 配置簡單的欄位查詢（Field Lookup） 79

4.2.1 在Splunk 網頁端中定義查詢（Lookup） 79

4.2.2 自動查詢（Automatic Lookups） 85

4.2.3 配置檔案（Configuration Files） 88

4.2.4 使用配置檔案（Configuration File）執行查詢（Lookup）——

示例 90

4.2.5 填充查詢表（Lookup Table） 91

4.2.6 使用dedup（去重複指令）處理 重複值（Duplicate） 93

4.2.7 動態查詢（Dynamic Lookup） 94

4.2.8 使用Splunk網頁端 95

4.2.9 使用配置檔案（Configuration File）替代 Splunk網頁端 97

4.2.10 時基查詢（Time-based Lookup） 99

4.2.11 出現兩個一樣的值 103

4.3 指令（Command）綜述 105

4.3.1 lookup（查詢）指令 105

4.3.2 inputlookup（輸入查詢）指令與outputlookup（輸出查詢）

指令 105

4.3.3 inputcsv（輸入csv）指令與outputcsv （輸出csv）指令 106

4.4 總結 108

第5章 先進的儀錶板 109

5.1 創建有效的儀錶板 109

5.1.1 視圖 110

5.1.2 面板 111

5.1.3 模組 111

5.2 表格搜尋 112

5.3 返回儀錶板 117

5.3.1 面板編輯器 117

5.3.2 可視化編輯器 117

5.3.3 詳細學習儀錶板編輯器 118

5.3.4 構建儀錶板 119

5.3.5 儀錶板與XML 128

5.3.6 給我的世界上色 131

5.4 搜尋詳解 132

5.5 動態挖掘 137

5.6 真實、即時的解決方案 141

5.7 總結 143

第6章 索引庫與索引 144

6.1 索引的重要性 144

6.2 什麼是Splunk索引 145

6.2.1 事件處理 145

6.2.2 索引構成 146

6.2.3 默認索引庫 147

6.3 索引、indexers和集群 147

6.4 Splunk索引庫管理 148

6.5 處理多個索引庫 150

6.5.1 創建多個索引的原因 150

6.5.2 創建和編輯Splunk索引 150

6.5.3 其他索引方法 153

6.5.4 使用新建索引 155

6.5.5 將所有事件納入索引 155

6.5.6 導入具體事件 157

6.6 刪除索引庫及索引的數據 159

6.6.1 刪除Splunk事件 159

6.6.2 刪除數據 162

6.7 配置索引庫 166

6.8 移動索引資料庫 166

6.9 擴展Splunk索引 167

6.10 容量 167

6.11 淺談限制 168

6.12 總結 171

第7章 改進APP 172

7.1 基礎應用程式 172

7.1.1 應用程式列表 173

7.1.2 安裝應用程式 176

7.1.3 禁用或刪除Splunk應用程式 179

7.2 BYO或創建自定義應用程式 180

7.3 應用程式常見問題解答 180

7.4 Splunk的端對端自定義 181

7.5 應用程式創建的準備工作 181

7.5.1 開啟Splunk應用程式創建 182

7.5.2 分享應用程式 199

7.6 總結 199

第8章 監測與報警 200

8.1 監測內容 200

8.1.1 Recipes 202

8.1.2 將Splunk指向數據 202

8.1.3 監測範疇 203

8.2 高級監測 204

8.3 定位、定位、定位 204

8.4 利用轉發器 205

8.5 我能使用應用程式嗎 207

8.6 Splunk中的Windows輸入 208

8.7 開始監測 209

8.7.1 自定義數據 209

8.7.2 輸入端鍵入 210

8.8 Splunk用監測到的數據做什麼 210

8.9 Splunk 212

8.9.1 該程式在哪 212

8.9.2 安裝程式 213

8.10 查看Splunk部署監控器程式 216

8.11 關於預警 217

8.12 編輯預警 225

8.12.1 編輯描述 225

8.12.2 編輯許可權 226

8.12.3 編輯預警類型和觸發機制 226

8.12.4 編輯動作 227

8.12.5 禁用預警 228

8.12.6 複製預警 228

8.12.7 刪除預警 229

8.13 Scheduled或real time 229

8.14 擴展功能 230

8.14.1 Splunk加速 231

8.14.2 有效期 231

8.14.3 提要項索引 232

8.15 總結 232

第9章 交易型Splunk 233

9.1 交易及交易類型 233

9.2 交易搜尋 235

9.2.1 Splunk交易案例 236

9.2.2 交易指令 237

9.2.3 交易和宏搜尋 238

9.2.4 回顧搜尋宏 239

9.3 交易的高級套用 243

9.3.1 設定交易類型 243

9.3.2 匯總——事件集合與關聯 247

9.3.3 並發事件 247

9.3.4 避免什麼——stats而非transaction 251

9.4 總結 253

第10章 Splunk-企業板塊 254

10.1 基本概念 254

10.2 最佳案例 255

10.3 Splunk知識的定義 256

10.3.1 數據解釋 257

10.3.2 數據的分類 257

10.3.3 數據改進 257

10.3.4 標準化 258

10.3.5 建模 258

10.4 戰略知識管理 258

10.5 用Splunk知識管理進行對象管理 260

10.6 為文檔創建命名規範 261

10.7 測試 264

10.7.1 分享前先測試 265

10.7.2 測試級別 265

10.8 改裝 268

10.9 企業視野 269

10.9.1 評估和實施 270

10.9.2 創建、使用和重複 270

10.9.3 管理和最佳化 270

10.9.4 更多關於願景的信息 271

10.9.5 一種結構化方法 271

10.10 總結 272

附錄A 快速入門 273

A.1 話題 273

A.2 在哪裡學習Splunk ＆如何學習Splunk 274

A.3 認證 274

A.3.1 信息管理人員 274

A.3.2 管理員 275

A.3.3 建築師 275

A.3.4 補充認證 275

A.4 Splunk檔案 276

A.5 www. splunk.com 277

A.6 Splunk答覆 278

A.7 Splunk基地 278

A.8 支持門戶 278

A.9 關於Splexicon 279

A.10 關於“如何”的教程 280

A.11 用戶會議、部落格及新聞組 281

A.12 專業服務 281

A.13 獲取Splunk軟體 282

A.13.1 免責聲明 282

A.13.2 磁碟空間要求 282

A.13.3 安裝和調試 284

A.14 在環境中學習 292

A.15 總結 293

宮鑫，射手學院創始人，搜尋引擎行銷專家，曾任百度認證負責人，品眾互動首席最佳化師。著有《Google廣告最佳化與工具》；主持編寫《百度推廣-搜尋行銷新視角》、《點金時刻-搜尋行銷實戰前沿》；譯著十餘本。